Duolingo adalah situs web dan aplikasi pembelajaran bahasa terbesar di dunia dengan lebih dari 74 juta pengguna bulanan. Menurut Bleeping Computer, data pribadi pengguna Duolingo yang bocor akan memungkinkan peretas untuk melakukan serangan phishing yang ditargetkan.
Pada Januari 2023, sebuah akun di forum peretas menjual data yang dikumpulkan dari 2,6 juta pengguna Duolingo seharga $1.500, dan forum tersebut sejak itu telah ditutup.
Data ini mencakup kredensial login, nama asli, dan informasi non-publik, termasuk alamat email dan informasi internal yang terkait dengan layanan Duolingo. Meskipun profil pengguna Duolingo menampilkan nama asli dan nama login secara publik, alamat email dianonimkan.
Penjualan iklan data 2,6 juta pengguna Duolingo seharga $1.500.
Duolingo mengkonfirmasi kepada TheRecord bahwa data yang dikumpulkan dan dijual diambil dari profil publik, dan layanan tersebut sedang menyelidiki apakah perlu mengambil tindakan pencegahan. Namun, Duolingo tidak menyebutkan fakta bahwa alamat email juga tercantum dalam data tersebut.
Data dari 2,6 juta pengguna dirilis kemarin di versi baru forum peretas hanya dengan harga $2,13. Data tersebut dikumpulkan menggunakan antarmuka pemrograman aplikasi (API) yang telah dibagikan secara publik sejak Maret 2023.
API Duolingo ini memungkinkan siapa pun untuk mengirimkan permintaan informasi profil publik pengguna. Namun, dimungkinkan juga untuk memberikan alamat email ke API dan mengkonfirmasi apakah alamat tersebut terkait dengan akun Duolingo.
BleepingComputer mengatakan bahwa API tersebut tetap tersedia untuk umum bahkan setelah penyalahgunaannya dilaporkan ke Duolingo pada bulan Januari.
Kemungkinan besar peretas memasukkan jutaan alamat email—yang mungkin telah terungkap dalam pelanggaran data sebelumnya—ke dalam API untuk melihat apakah alamat tersebut milik akun Duolingo. Alamat email ini kemudian digunakan untuk membuat kumpulan data yang berisi informasi publik dan non-publik.
Peretas mengunggah ulang data 2,6 juta pengguna Duolingo dengan harga yang sangat murah.
Perusahaan cenderung membuang data yang telah dikumpulkan karena sebagian besar data tersebut sudah bersifat publik. Namun, ketika data publik bercampur dengan data pribadi seperti nomor telepon dan alamat email, hal itu membuat informasi yang terungkap menjadi lebih berisiko dan berpotensi melanggar undang-undang perlindungan data.
Pada tahun 2021, Facebook mengalami pelanggaran data besar-besaran setelah API "Tambah Teman" mereka disalahgunakan untuk menghubungkan nomor telepon ke akun Facebook dari 533 juta pengguna. Komisi Perlindungan Data Irlandia (DPC) mendenda Facebook sebesar €265 juta ($275,5 juta) karena menyebabkan pelanggaran data tersebut. Sebuah bug baru-baru ini di API Twitter digunakan untuk mengambil data publik dan alamat email jutaan pengguna, yang menyebabkan penyelidikan oleh DPC. Duolingo belum menjelaskan mengapa mereka membiarkan API mereka terbuka untuk semua orang setelah adanya laporan penyalahgunaan.
Tautan sumber
![[Foto] Perdana Menteri Pham Minh Chinh melakukan panggilan telepon dengan CEO Perusahaan Rosatom Rusia.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765464552365_dsc-5295-jpg.webp&w=3840&q=75)
![[Foto] Upacara Penutupan Sidang ke-10 Majelis Nasional ke-15](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765448959967_image-1437-jpg.webp&w=3840&q=75)
![[RESMI] MISA GROUP MENGUMUMKAN POSISI MEREK PIONIRNYA DALAM MEMBANGUN AI AGENTIK UNTUK BISNIS, RUMAH TANGGA, DAN PEMERINTAH](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/11/1765444754256_agentic-ai_postfb-scaled.png)
Komentar (0)